Разработчики: | Hyundai Motor Company and Kia Motors Corporation |
Отрасли: | Транспорт |
2022: Выявлены ошибки в мобильном приложении
В начале декабря 2022 года стало известно о том, что один и тот же баг в штатной работе мобильных приложениий MyHyundai и MyGenesis позволил хакерам удалённо разблокировать и заводить автомобили Hyundai и Genesis, а также ещё несколько марок машин.
Независимые исследователи по информационной безопасности обнаружили проблемы и изучили аналогичные поверхности атак в платформе "умного автомобиля" SiriusXM. Платформа используется в автомобилях других производителей (Toyota, Honda, FCA, Nissan, Acura и Infinity), что позволило хакерам после 2012 года удаленно разблокировать, запускать, определять местоположение, мигать и сигналить и даже заводить автомобили.
На декабрь 2022 года исследователи не опубликовали подробных технических описаний своих находок, но поделились некоторой информацией в Twitter, в двух отдельных темах (Hyundai, SiriusXM). Мобильные приложения Hyundai и Genesis, названные MyHyundai и MyGenesis, позволяют аутентифицированным пользователям запускать, останавливать, блокировать и разблокировать свои автомобили. Специалисты по ИБ, перехватив трафик, генерируемый этими двумя приложениями, проанализировали его и смогли извлечь вызовы API для дальнейшего изучения. Они обнаружили, что проверка владельца осуществляется на основе адреса электронной почты пользователя, который был включен в JSON-тело POST-запросов.
Далее аналитики обнаружили, что MyHyundai не требует подтверждения электронной почты при регистрации. Они создали новую учетную запись, используя адрес электронной почты цели с дополнительным управляющим символом в конце. Наконец, они отправили HTTP-запрос на конечную точку Hyundai, содержащий поддельный адрес в JSON-токене и адрес жертвы в теле JSON, минуя проверку достоверности. Для того, чтобы убедиться, что они могут использовать этот доступ для атаки на автомобиль, они попытались разблокировать автомобиль Hyundai, использовавшийся для исследования. Через несколько секунд машина разблокировалась. Многоэтапная атака исследователей была воплощена в пользовательском скрипте Python, которому для атаки требовался лишь адрес электронной почты жертвы.Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
SiriusXM, помимо прочего, является поставщиком телематических услуг для автомобилей, используемых более чем 15 автопроизводителями. Компания утверждает, что она управляет 12 млн подключенных автомобилей, которые работают с более чем 50 сервисами на единой платформе.[1]